Strabbo

Зависит от того какие протоколы у вас работают, но в целом рекомендация от вендора есть. Вот документ, который описывает как "мягко" вывести коммутатор из домена и вырубить все протоколы, которые поддерживают GR.

Почему LLDP возвращает несколько хостов?

Потому-что коммутаторы передают чужие LLDP пакеты. Обычно умные свичи не передают чужие LLDP пакеты на другие интерфейсы, но ваши свичи почему то это делают.

P.S. Наблюдал такое поведение у некоторых старых свичей, производителя не помню.

Добавлю свои 5 копеек.

Используются ли провайдерами VLAN 802.1q без использования private vlan? Если да, то как это устроено. Ведь нужно сделать винегрет из вланов в одной подсети, но подсеть же работает только с одним вланом. Как шлюз (под шлюзом назовём L3 коммутатор ядра) будет получать на свой интерфейс столько вланов и потом ещё обратно отправлять пакеты абоненту с нужной меткой VLAN? По идее же, подсеть будет прописана только к одному влану на интерфейсе шлюза.
В рамках работы 802.1q такое вообще возможно, или я что-то не понимаю?

Private vlan используют только маленькие провайдеры, большим не выгодно из-за ресурсов которые нужны для этой схемы. Если у вас 10к абонентов, то с private vlan это 20к маков, вместо обычных 10к. TCAM не резиновый.

Одну подсеть можно прописать на несколько вланов и без private vlan. Тут нам поможет Ip unnumbered + BNG. Можно и без BNG, но с ним круче.

Второй вопрос. Какими методами провайдеры защищают своё оборудование от вмешательств злоумышленников?
Например, чтобы к аксессному коммутатору никто не мог подключить свою железку и слушать через span порт трафик (если вообще аксессные коммутаторы так умеют) или осуществить mitm атаку на абонентов, подключенных к этому коммутатору.

Зависит от атаки, например Если у провайдера есть DHCP snooping + IPSG + DHCP opt 82 (который можно настроить частично на BNG ну и полностью на свичах) то ваш MITM не пройдет. у вас просто не будет доступа к сети. простоу будете снифить и смотреть что там и всё ))

Если там не Ethernet, а GPON. Тут вообще 95% может и больше (процент взял от балды) ничего вы не заснифите, Сперва надо поймать волну, не каждой железкой можно, а потом уже и расшифровать. GPON использует AES шифрование. Ну и потом GPON downlink это обычный broadcast который зависит от OLT, может заключать в себе дофига абонентов и каждый шифруется по разному ) сперва надо достать ключи конкретного ONU, потом отделить как то его трафик и расшифровать (это в теории).

P.S. Не все провайдеры используют то, о чем я написал. Но я работал в таком где использовали.

Перенес с коментов в ответы.

думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?

В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?

Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

Умеет ли ios в d/snat?

По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
.
тут инфа на нексус 5к нат

Что будет лучше для резюме?

Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?

Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.

Как получить полную скорость от cisco 2921?

С вашим конфигом никак. У вас даже скорость в нормальном режиме работы (IMIX) будет меньше, чем на спидтесте.
Можно выключить НАТ и тогда скорее всего вы получите 1G.
Посмотрите этот документ, там есть тесты со скоростью с разными конфигурациями

ПДФ

вот какие порты использует данный протокол, чтоб ему разрешать передачу трафика через firewall

Он не использует IP протокол, соответственно никаких портов там нету. IS-IS использует протокол CLNS.

можно ли огранить отправку маршрутов по аналогии с OSPF filter rules или же данный протокол работает совершенно по-другому

По стандарту фильтрация работает из одной area в другую или же с Level 2 в Level 1 и наоборот. + может какой то вендор добавил свои методы фильтрации.

P.S. как ISIS работает в микротике понятия не имею :)

Хочу понять, заработает ли линк если на разных концах будет sfp от разных вендоров, т.е. у HPE свой, а у микротика свой, само собой реверсные типа 1550-1310 и на втором конце 1310-1550.

Уверен на 100% что заработает. Сами использует разных ведноров на разных концах (Cisco>Huawei)(Cisco>Juniper)(Juniper>Huawei)

В вашем случае всё зависит от системы виртуализации, например ESXI сам всё разнесет по портам так что лупа не будет. Так что вы можете даже подключить ваши свичи друг к другу и петли не будет. Но в таком случае усложниться управление- вместо одного стека будете управлять несколькими свичами по отдельности. При добавлении коммутаторов опять таки без стека надо будет много конфигить. Без стека может усложниться подключение к провайдеру и к остальной сети(если она существует).

P.S. Best Practice зависит от многого, так что тут не можеть быть конкретного ответа, многое зависит от разных факторов.